L’article 9 du RGPD et l’article 6 de la loi Informatique et libertés telle que modifiée par l’ordonnance du 12 décembre 2018 (LIL 4) interdisent par principe le traitement de données biométriques (« aux fins d’identifier une personne physique de manière unique », précise LIL 4). Des exceptions existent cependant, parmi lesquelles figurent les traitements mis en oeuvre par les employeurs ou les administrations qui portent sur des données biométriques strictement nécessaires :
- au contrôle de l’accès aux lieux de travail,
- ainsi qu’aux appareils et aux applications utilisés dans le cadre des missions confiées aux salariés, aux agents, aux stagiaires ou aux prestataires (LIL 4, art. 44).
Une condition toutefois : ces traitements doivent être conformes aux règlements types élaborés par la CNIL, dans le cadre des pouvoirs que lui confère l’article 8 de la LIL 4.
Les traitements de données biométriques aux fins d’identifier une personne physique de manière unique, parmi lesquelles figurent des personnes dites « vulnérables », font partie des traitements pour lesquels la CNIL exige la réalisation d’une analyse d’impact relative à la protection des données (AIPD).
C’est dans ce contexte que la CNIL a adopté, par une délibération du 10 janvier 2019 publiée le 28 mars 2019, un règlement type relatif à la mise en œuvre de tels dispositifs.
S’entendent comme données biométriques les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques (RGPD, art. 4).
En milieu professionnel, seule l’authentification biométrique basée sur des caractéristiques morphologiques des personnes concernées est autorisée. L’authentification biométrique nécessitant un prélèvement biologique (salive, sang, etc.) est proscrite dans le champ du règlement type de la CNIL.
Le choix du ou des types de biométrie (iris, empreinte digitale, réseau veineux de la main, etc.) doit être justifié et documenté par l’employeur, notamment la raison d’utilisation d’une caractéristique biométrique plutôt qu’une autre (règlement type, art. 5).
- le contrôle d’accès aux locaux limitativement identifiés par l’organisme comme devant faire l’objet d’une restriction de circulation ;
- le contrôle d’accès aux appareils et applications informatiques professionnels limitativement identifiés de l’organisme.
Le responsable de traitement doit démontrer la nécessité de recourir à un traitement de données biométriques, en indiquant les raisons pour lesquelles le recours à d’autres dispositifs d’identification (badges, mots de passe, etc.) ou mesures organisationnelles et techniques de protection ne permet pas d’atteindre le niveau de sécurité exigé.
Les données qui peuvent être utilisées dans le cadre du dispositif de contrôle d’accès biométrique sont limitativement énumérées :
- Les données renseignées par l’employeur ou ses préposés (données d’identification)
– L’identité : nom, prénoms, photographie, enregistrement brut (photo, enregistrement audio, etc.) de la caractéristique biométrique et gabarit(s) d’une ou plusieurs caractéristiques biométriques, numéro d’authentification ou numéro de support individuel, coordonnées professionnelles, clés de chiffrement ;
– la vie professionnelle : numéro de matricule interne, corps ou service d’appartenance, grade, identité ou dénomination sociale de la personne (physique ou morale) ayant la qualité d’employeur ;
– l’accès aux locaux : accès, zones et plages horaires autorisés ;
– l’accès aux outils de travail : matériels ou applicatifs concernés, plages horaires et modalités d’accès autorisées.
- Les données générées par le dispositif (données de journalisation)
– Journalisation des accès aux locaux : accès utilisés, horodatage des tentatives d’accès, numéro d’authentification ou numéro de support individuel ;
– journalisation des accès aux outils de travail : matériels ou applicatifs concernés, horodatage des tentatives d’accès, numéro d’authentification ou numéro de support individuel.
Elles ne peuvent être conservées que sous forme de gabarits chiffrés ne permettant pas de recalculer la caractéristique biométrique d’origine et seulement pendant la durée d’habilitation de la personne concernée. Elles doivent donc être supprimées en cas de retrait des habilitations ou en cas de cessation des fonctions de la personne concernée dans l’organisme employeur.
Les enregistrements bruts (photo, enregistrement audio, etc.) de la caractéristique biométrique ne peuvent être traités que le temps nécessaire au calcul du ou des gabarits : ils ne peuvent donc pas être conservés. Plus particulièrement :
-
les données de journalisation des accès produites par le dispositif biométrique ne peuvent être conservées en base active pendant plus de 6 mois glissants à compter de leur date d’enregistrement ;
-
les données d’identification, autres que les gabarits biométriques, doivent être supprimées au plus tard dans les 6 mois qui suivent la date du retrait des habilitations ou celle de la cessation des fonctions de la personne concernée au sein ou pour le compte de la personne physique ou morale ayant la qualité de l’employeur.
Source – Actuel Expert-Comptable